Novinky: ╚erven 2000



[29.6.2000]
Antivirus NOD u₧ i pro Novell server !

Slovenskß spoleΦnost ESET vypustila prvnφ beta verzi antiviru NOD, kter² je urΦen pro Novell server. Antivirus se instaluje na volume SYS: ve form∞ NLM modulu. Ten se pak do pam∞ti zavede p°φkazem LOAD. NOD pro Novell server testuje veÜkerΘ soubory, se kter²mi se n∞jak²m zp∙sobem manipuluje. Beta verzi m∙₧ete stßhnout zde (850 KB).



[29.6.2000]
In-the-Wild List 6/2000.

Nov² seznam nejrozÜφ°en∞jÜφch vir∙ lze stßhnout zde. Nßsleduje p°ehled nejvφce hlßÜen²ch vir∙:

  Freq  Name                       Type    Aliases
 ============================================================================
  42  | W32/Ska.A............... | File  | HAPPY99
  38  | W95/CIH.1003............ | File  | Spacefiller
  36  | W97M/Ethan.A............ | Macro |
  34  | W97M/Melissa.A-mm....... | Macro | Maillissa
  32  | W32/ExploreZip.......... | File  | Worm.ExploreZip
  32  | W97M/Marker.C........... | Macro | W97M/Spooky.C
  30  | W32/PrettyPark.A........ | File  |
  30  | WM/CAP.A................ | Macro |
  29  | O97M/Tristate.C......... | Macro | O97/Crown.B
  29  | VBS/LoveLetter.A........ | File  |
  25  | W97M/Class.D............ | Macro |
  24  | VBS/Freelink............ | File  |
  21  | W97M/Thus.A............. | Macro | W97M/Thursday.A
  20  | JS/Kak.worm............. | File  |
  17  | AntiCMOS.A.............. | Boot  | Lenart
  17  | W32/ExploreZip.pak...... | File  |
  17  | X97M/Laroux.A........... | Macro |
  16  | W32/Fix2001.worm........ | File  |
  16  | XM/Laroux.A............. | Macro |
  15  | W97M/Class.Q............ | Macro |
 ============================================================================



[26.6.2000]
Na zßpadnφ front∞ klid.

Op∞t je tu obdobφ, kdy se toho moc ned∞je. Tak₧e alespo≥ n∞kolik zajφmavostφ od minule:

V e-mailovΘ konferenci Grisoftu se objevila zprßva o ΦeskΘ mutaci makroviru W97M/Ethan:

    S pravdepodobnosti cca 40% nastavuje:
  • .Title = "Easter Surprise v1.1"
  • .Author = "DArk!, ISΦE"
  • .Keywords = "CZECH MADE!"
     a predevsim zahesluje dokument s fixnim heslem: DArk![FA]

    Tenhle payload si odpousti pouze v breznu - coz je ve zdrojaku okomentovano takto: Brezen mesic internetu - March is month of internet!

Od poslednφ novinky se objevil i dalÜφ Φesk² hoax, tedy e-mailovß zprßva plnß nesmysl∙:
Vß₧enφ p°ßtele POZOR !!!
V sφti internetu byl prßv∞ zaznamenßn zcela nov² virus.
P°ichßzφ E-mailem pod nßzvem: Prßzdniny v TelΦi a je velmi
mocn², vφce ne₧ Melissa! Nenφ proti   n∞mu pomoci. Tento virus
se₧ere vÜechny informace, kterΘ mßte a zniΦφ Netscape Navigator a
Microsoft Internet Explorer. NEOTEV═REJTE nic s tφmto
nßzvem a prosφm, p°edejte tuto zprßvu vÜem VaÜim
korespondent∙m a komukoliv, kdo pou₧φvß VßÜ e-mail. Zdß se,
₧e ne p°φliÜ mnoho lidφ o n∞m vφ,
tak₧e p°edejte tuto informaci co nejrychleji to bude mo₧nΘ.
Prosφm, pod∞lte se s ka₧d²m ve VaÜem adresß°i, aby Üφ°enφ viru
mohlo b²t zastaveno. Je to  velmi  nebezpeΦn² virus a nenφ proti
n∞mu v souΦasnosti obrany. Prosφm,
uΦi≥te  varovnß opat°enφ a p°edejte je vÜem VaÜim p°ßtel∙m
online okam₧it∞, pokud mo₧no ihned potΘ, co doΦtete tento e-mail.
Na zßv∞r bych jeÜt∞ vÜechny poprosil, aby podpo°ili "Igiho strßnku" v sout∞₧i o Zlatou Zmiji (hledejte v druhΘ polovin∞ seznamu).



[20.6.2000]
VBS/Stages - trochu vφce rozÜφ°en² Φerv...

Snad vÜichni informujφ o Φervu Stages (alias ScrapWorm) a abych netvo°il vyjφmku, p°idßm se taky. Jednß se o dalÜφho Φerva, kter² je napsßn ve Visual Basic Scriptu, tak₧e jenom struΦn∞:

  • Pro chod je nutnß podpora VBScript∙ - WSH (Windows Scripting Host).
  • Pro Üφ°enφ je nutnß aplikace MS Outlook 98/2000 a jejφ "kniha adres".

    Infikovanß e-mailovß zprßva vypadß nßsledovn∞:
  • Subjekt slo₧en ze t°φ sekcφ:
      Prvnφ: "Fw: " nebo ""
      Druhß: "Life stages" nebo "Funny" nebo "Jokes"
      T°etφ: " text" nebo ""
  • T∞lo neobsahuje nic, nebo:
      > The male and female stages of life.
      > The male and female stages of life. Bye.
  • P°φloha, soubor: LIFE_STAGES.TXT.SHS

    ╚erv Stages po spuÜt∞nφ p°φlohy zobrazφ textov² soubor, po tΘ odeÜle svoji kopii na e-maily, kterΘ se nachßzejφ v "knize adres" aplikace MS Outlook 98/2000. Pro svΘ dalÜφ Üφ°enφ vyu₧φvß i sφ¥ a IRC kanßly.

    Podle poslednφch informacφ pronikl Φerv Stages i na ·zemφ ╚eske republiky.

    Skoro jsem zapom∞l na jednoduch² antivirus na odstran∞nφ Φerva VBS/Stages. Je od NAI a lze ho stßhnout     ZDE !!!



    [17.6.2000]
    Na hranicφch se SR byla zadr₧ena paÜovanß cΘdΘΦka s AVG za 11 000 000 Sk !!!

    VIDEO !!! - alespo≥ to tvrdila slovenskß televize Markφza (klikn∞te - VIDEO !!!) ve svΘ hlavnφ zpravodajskΘ relaci. Ve skuteΦnosti to bylo ·pln∞ jinak (vyjßd°enφ TomßÜe Hofera - Grisoft):

    Pracovnice slovenske pobocky nasich dodavatelu mela CD ROM vylozit v Brne, coz neucinila a pokracovala v ceste na Slovensko. Na slovenskych hranicich vsak byla CD AVG samozrejme odhalena a zabavena. To se stalo v utery tento tyden. Vcera ve zpravach na Markize bylo ohlaseno, ze celnici zadrzeli pasovana CD ROM s programem AVG v cene 11.000.000,-, pricemz danova skoda zpusobena SR je asi 2 miliony, atp... Tato CD ROM neobsahuji samozrejme zadne seriove cislo, takze spustit z nich lze jen tak maximalne TRIAL verzi nebo zaktualizovat stavajici instalaci, takze skoda by mohla byt jen v radu nekolika desitek tisic, ale to neni v tuto chvili dulezite.

    Nove CD ROM AVG jsme jiz zadali do vyroby a budou k dispozici v utery pristi tyden. Pokusime se zajistit, aby distribuce aktualizaci probehla co nejrychleji.

    Doufßm, ₧e mi pßnovΘ z *-zine odpustφ, ₧e jsem pou₧il jejich MPG video :-)

    [15.6.2000]
    Po delÜφ dob∞...
    jsem op∞t tady. Od poslednφ novinky uplynulo n∞kolik dnφ, co₧ bylo mimo jinΘ zp∙sobeno skuteΦnostφ, ₧e se za tu dobu neobjevil ₧ßdn² zajφmav² virus. V poslednφm Φφsle Φasopisu Virus Bulletin se objevil Φlßnek o n∞kter²ch zajφmav²ch makrovirech. Tak nap°φklad:

    Makrovirus O97M/Carpe maskuje svoje t∞lo velice originßln∞ - v VBA editoru nastavφ pozadφ i pφsmo na bφlou barvu. U₧ oznaΦenφ O97M napovφdß, ₧e se jednß o tzv. "cross-platform" makrovirus, kter² se Üφ°φ ve Wordu, Excelu, ale i v Projectu.

    W97M/Blink si pro zm∞nu v sob∞ nese spustiteln² k≤d Win32. P°i otev°enφ infikovanΘho dokumentu si makrovirus zavolß n∞kolik funkcφ z Kernel32.dll, dφky kter²m se z tohoto k≤du stane plnohodnotn² PE EXE soubor, kter² Blink nßsledovn∞ spustφ. PE EXE program hledß RAR archivy po celΘm disku a vklßdß do nich infikovan² soubor BLINK.DOC.

    DalÜφ makrovirus W97M/Damon se vyskytuje na infikovanΘm poΦφtaΦi pouze v jednom exemplß°i. "P°elΘzß" nßhodn∞ z jednoho dokumentu na druh², p°iΦem₧ z toho p∙vodnφho se v₧dy odstranφ.

    Dßle se zde zmi≥ujφ o z°ejm∞ prvnφm makroviru, kter² pat°φ do kategorie password stealers (vykradaΦ hesel). Jeho jmΘno je W97M/Trojan.NPR a krade u₧ivatelskß jmΘna a hesla pro p°ihlßÜenφ do Internetu (soubor EDIALER.INI). Krom∞ toho vyhledßvß soubory s p°φponou PWL (op∞t hesla) a tohle vÜechno odesφlß za ·Φasti protokolu SMTP na e-mail kashek@usa.net.

    [9.6.2000]
    Symantec plßnuje antivirus pro PalmOS...
    Symantec, v²robce Norton Antiviru plßnuje antivirus pro PalmOS. ┌dajn∞ chce tuto oblast pokr²t jeÜt∞ d°φve, ne₧ do nφ proniknou skuteΦnΘ viry. Otßzkou je, zda to mß n∞jak² smysl a jestli tady nejde pouze o penφze...

     [7.6.2000] - [aktualizace: 19:00]
    Tak r∙zn∞...
    Na "Igiho strßnce o virech" lze poΦφnaje dneÜkem najφt moje "dφlo", kter²m jsem se prezentoval na konferenci Security 2000. Kompletnφ elektronickß podoba sbornφku je sice k dispozici, ale mßm zßkaz ho na strßnku voln∞ umis¥ovat. Tady je odkaz na Φlßnek:     Viry existujφ - zkuÜenosti z praxe.

    FOTOALBUM z akce SECURITY 2000 lze najφt ZDE !!!

    Jinak jsem vypustil novou verzi programu: Office Protector a I_LOVE_YOU antivirus. D∞kuji Petru HubinskΘmu, kter² moje programy umφstil na SAC FTP, co₧ je to nejlepÜφ mφsto na stahovßnφ antivir∙ a ostatnφch skv∞l²ch v∞cφ. Tady je link: ftp://ftp.elf.stuba.sk/pub/pc/avir.

    [6.6.2000]
    Ve èpan∞lsku majφ Φerva Timofonica.
    N∞jak² Üpan∞l se z°ejm∞ nechal inspirovat populßrnφm Φervem VBS/LoveLetter, dφky kterΘmu vznikl nov² Φerv Timofonica, kter² je op∞t napsßn ve VBScriptu. Zp∙sob Üφ°enφ je jasn², Φerv k nßm p°φjde v emailovΘ zprßv∞ se subjektem: "TIMOFONICA". T∞lo zprßvy obsahuje n∞jakΘ texty ve Üpan∞lÜtin∞ a v p°φloze se nachßzφ soubor TIMOFONICA.TXT.vbs. Po spuÜt∞nφ jmenovanΘho souboru se Φerv sna₧φ odeslat svoji kopii na dalÜφ e-mailovΘ adresy v "knize adres" aplikace MS Outlook. Krom∞ toho odesφlß Φerv Timofonica dalÜφ zprßvy na adresu {nßhodnΘ_Φφslo}@correo.movistar.net, co₧ mß za nßsledek, ₧e n∞kte°φ majitelΘ mobilnφch telefon∙ od spoleΦnosti MoviStar obdr₧φ z°ejm∞ SMS zprßvu s tφmto obsahem: "informa que: Telef≤nica te est! engaßando". Doufejme, ₧e se nedoΦkßme ΦeskΘ mutace, kterß by SMS zprßvy posφlala na xxx@sms.paegas.cz Φi xxx@sms.eurotel.cz. Do jednoho populßrnφho klφΦe v registrech jeÜt∞ uklßdß odkaz na soubor CMOS.COM, kter² se po nßsledujφcφm restartu poΦφtaΦe postarß o p°emazßnφ pam∞ti CMOS. Pro chod Φerva je nutnß podpora WSH (Windows Scripting Host).

    V²skyt tohoto Φerva lze na ·zemφ ╚R prakticky vylouΦit, pochybuji o tom, ₧e by n∞kdo otevφral p°φlohu ve zprßv∞, kterß je psanß Üpan∞lsky. I kdy₧...

     [5.6.2000]
    DalÜφ Φesk² virus - Win32/Dream od Prizzyho !
    Prizzy ze skupiny 29A napsal sv∙j t°etφ virus. Jako v₧dy se jednß o technickou "lah∙dku" - tzv. High-Tech virus. Virus Win32/Dream napadß PE EXE soubory, ale vklßdß se i do soubor∙ s nßpov∞dou Windows (HLP). ╚ßsti viru "b∞hajφ" v n∞kolika procesech (celkem 7) a vyu₧φvß se tzv. "Interprocess Communication (IPC)". Odkaz na strßnku Prizzyho uvßd∞t nebudu, ka₧dopßdn∞ Prizzyho popis vlastnφho dφla m∙₧ete najφt zde (URL jsem op∞t pro jistotu odmazal).

    [5.6.2000]
    Pro p°φznivce antiviru AVP od Kaspersky Lab.
    Plßny Kaspersky Lab. jsou opravdu velikΘ:

    July - AVP for Windows (all editions) v.3.5
    July - AVP for Linux (workstations) including configuration user interface, updates
    July - AVP for Linux (server), FreeBSD including integration with Sendmail, Qmail, updates
    July - NetWare 3 v.3.5 including up-to-date AV kernel and support of the new key format
    August - AVP for Office 2000 version 2
    August - NetWare 4, 5 (with NDS) version 3.5 including Java Console, internet updates
    August - Exchange version 2
    September - AVP for Lotus Domino (Linux)
    November - AVP for Lotus Domino (Windows NT)
    September - AVP for Windows 2000 (special edition with integration into Windows Installer)
    November - AVP @Home (special version of AVP for Windows for Home users, instead of Silver and Lite editions)
    December - next builds of Linux, FreeBSD, Windows products.

     [2.6.2000]
    Konference Security 2000 !!!
    VΦera prob∞hla v Nßrodnφm dom∞ na Vinohradech prvnφ Φßst konference nazvanΘ Security 2000. Prvnφ den byl v∞novßn p°edevÜφm virovΘ problematice. Celß akce zaΦala n∞co mßlo po devßtΘ hodin∞. Prvnφ p°ednßÜky se ujal Ing. Pavel BaudiÜ (    Alwil - Avast), kter² zrekapituloval v²voj poΦφtaΦov²ch vir∙. Zam∞°il se pochopiteln∞ na v²voj od poslednφ konference (Virus 98). Po n∞m p°iÜel na °adu Ing. Petr Odehnal (Grisoft - AVG), kter² to jako v₧dy vzal s humorem. V²voj vir∙ rozd∞lil na prav∞k, st°edov∞k a novov∞k. ╚ßst p°ednßÜky v∞noval tzv. "Press-release" vir∙m, tj. vir∙m, kterΘ se v praxi b∞₧n∞ nevyskytujφ, za to v tiskov²ch zprßvßch se o nich mluvφ neustßle (pozn. Igi: viz. tiskovΘ zprßvy Symantecu, zvlßÜt∞ pak jejich ΦeskΘ p°eklady - to je sφla !!!). Po tΘ vystoupil Ing. Ji°φ MrnuÜtφk (AEC), kter² °ekl n∞co na tΘma "NovΘ hrozby a modelovΘ ·toky (kryptovirologie). Po n∞m pak MiloÜ Kucha° (AEC) pohovo°il na tΘma "JakΘ v²zvy °eÜφ antivirovΘ a "IT Security" firmy ?".
    Po p°estßvce na ob∞d zaΦala druhß Φßst dne: Ing. Ji°φ MrnuÜtφk tentokrßt mluvil o nebezpeΦφ Internetu, elektronickΘ poÜty apod. Nßsledovalo vystoupenφ Ing. Milana LouckΘho (Vogel), kter² hovo°il o chovßnφ u₧ivatel∙ p°i setkßnφ s virem. Po n∞m vystoupil zcela neznßm² Igor Hßk (www.viry.cz :-) a mluvil na tΘma "Viry existujφ - zkuÜenosti z praxe". Lidi na n∞j nepφskali, ani nehßzeli odpadky, tak₧e to z°ejm∞ nebylo tak hroznΘ. Pak jsem se op∞t ztratil do zßkulisφ, tak₧e jsem dalÜφ, spφÜe teoretickΘ p°ednßÜky nevid∞l. Na zßv∞r se konala diskuse. V∞tÜina dotaz∙ dorazila v papφrovΘ podob∞. K Igimu dorazil naÜt∞stφ pouze jeden dotaz, i tak ta odpov∞d stßla za to :-( Nejvφce otßzek samoz°ejm∞ padalo na Pavla BaudiÜe a Petra Odehnala, v∞tÜinou konkrΘtnφ na antiviry AVAST Φi AVG. Mezi divßky byl i Josef D₧ubßk, autor strßnek o Φervech - www.masters.cz/worms.

    B∞hem n∞kolika dn∙ snad dorazφ fotografie z tΘto akce, o jejich uvedenφ na "Igiho strßnce" budu informovat. Pokud nebudou problΘmy, bude na t∞chto strßnkßch k dispozici i kompletnφ elektronickß podoba sbornφku (p°es 100 stran), s p°φsp∞vky v∞tÜiny vystupujφcφch.